LA NORMA ISO 16363 E I REQUISITI - procedamus.it · La conservazione dell’informazione in formato...
Transcript of LA NORMA ISO 16363 E I REQUISITI - procedamus.it · La conservazione dell’informazione in formato...
LA NORMA ISO 16363 E I REQUISITI
DI AUTENTICITA’ DEI DEPOSITI
DIGITALI
Matteo Savoldi – Archivista
Milano, 4 ottobre 2018
LE RIFLESSIONI DELLA COMUNITA’
SCIENTIFICA
Gli anni ’90
La comunità scientifica si interroga su:
Modello di riferimento per la conservazione
del digitale
Presenza «custodi fidati»
LE RIFLESSIONI DELLA COMUNITA’
SCIENTIFICAMODELLO DI RIFERIMENTO
2002 CCSDS (Consultative Committee for Space Data
System) elabora un modello concettuale in grado di
fornire un i concetti fondamentali alla base della
conservazione digitale: OAIS (Open Archival Information
System)
2005 Standard ISO 14721
2012 aggiornamento
2014 aggiornamento
IL MODELLO OAIS (ISO 14721)
ORIZZONTE
«L’obiettivo del presente documento è la definizione del modello di riferimento ISO per un Sistema informativo aperto per l’archiviazione (OAIS).
Un OAIS è un Archivio, inteso come struttura organizzata di persone e sistemi, che accetti la responsabilità di conservare informazioni e renderle disponibili per una Comunità di riferimento»
LA MOTIVAZIONE
«La straordinaria crescita delle capacità di calcolo, della connettività di rete e della larghezza di banda a disposizione ha condotto ad una moltiplicazione delle organizzazioni che rendono disponibili informazioni digitali. Le operazioni fra tutti i tipi di organizzazione si svolgono usando forme digitali che progressivamente rimpiazzano i supporti più tradizionali come la carta.
La conservazione dell’informazione in formato digitale è molto più difficoltosa della conservazione dell’informazione su supporto cartaceo o su pellicola. Questo è un problema non solo per gli archivi tradizionali, ma anche per molte organizzazioni che non hanno mai avuto la consapevolezza di svolgere una funzione archivistica. Ci si aspetta che il presente modello di riferimento, fissando i requisiti minimi di un archivio OAIS e un insieme di concetti archivistici, fornisca una cornice comune all’interno della quale inquadrare le sfide archivistiche, in particolare quelle correlate all’informazione digitale»
IL MODELLO OAIS (ISO 14721)
IL MODELLO DI RIFERIMENTO FORNISCE
• un quadro per la comprensione e per una maggiore consapevolezza dei concetti archivistici necessari per la conservazione e l’accesso a lungo termine alle informazioni digitali;
• un quadro, completo di concetti e terminologia, per la descrizione e il confronto di architetture e procedure degli archivi presenti e futuri;
• amplia il consenso sugli elementi e sui processi correlati alla conservazione e all’accesso a lungo termine alle informazioni digitali, e promuove l’ampliamento di un mercato che le imprese possano sostenere
LE RIFLESSIONI DELLA COMUNITA’
SCIENTIFICAPRESENZA DI CUSTODI FIDATI
2002 Research Libraries Group (RLG) e US National
Archives and Records Administration (NARA) viene
istituita una Task force on digital repository cartification
che ha l’obiettivo di stabilire una struttura di attributi e
responsabilità per i depositi digitali (affidabilità,
credibilità loci credibiles)
2007 Trustworthy Repositories Audit & Certification:
Criteria and Checklist (TRAC) documento di sintesi dei
requisiti essenziali di un deposito fidato
2011 CCSDS Audit and Certification of Trustworthy
Digital Repositories
2012 ISO 16363
LA STRUTTURA DELLO STANDARD
MAGENTA BOOK - CCSDS 652.0-M-1
Sez. 1 Introduzione
Sez. 2 Overview sui criteri di audit e certificazione
Sez. 3 Infrastruttura organizzativa
Sez. 4 Gestione degli oggetti digitali
Sez. 5 Gestione dei rischi e dell’infrastruttura
Struttura interna
Definizione del requisito
Descrizione del requisito
Esempi di evidenze da portare per la dimostrazione del requisito
Approfondimento
Sezione 3 – Infrastruttura organizzativa
3.1 Governance e agibilità organizzativa
3.1.1 Mandato istituzionale. Il conservatore deve avere una
dichiarazione circa il suo mandato istituzionale relativo alla
conservazione a lungo termine, gestione e accesso
all’informazione digitale.
3.1.2 Piano strategico di conservazione. Modalità generali in cui
intende affrontare la conservazione
3.1.3 Direttive sulla conservazione. Documenti che dichiarano
che cosa il conservatore è adatto a conservare
Sezione 3 – Infrastruttura organizzativa
3.2 Struttura organizzativa e personale
3.2.1 Compiti e personale. Il conservatore deve strutturarsi
secondo ruoli ben precisi e possedere specifiche competenze
mantenute nel tempo
Sezione 3 – Infrastruttura organizzativa
3.3 Accountability procedurale
3.3.1 Comunità di riferimento. Prevedere una chiara definizione
della comunità di riferimento.
3.3.2 Policy per la conservazione. Indicazione di conformità agli
standard, meccanismi di revisione della documentazione.
3.3.3 Storia documentata dei cambiamenti. Modifiche resesi
necessarie in relazione a applicazioni e procedure
3.3.4 Trasparenza e rendicontazione. Sulle attività rilevanti per la
conservazione
3.3.5 Controllo dell’integrità. Identificazione e tracciamento delle
modalità di verifica dell’integrità dei contenuti conservati
3.3.6 Autovalutazione e audit.
Sezione 3 – Infrastruttura organizzativa
3.4 Sostenibilità finanziaria
3.4.1 Pianificazione amministrativa. Garantire la sostenibilità
finanziaria nel tempo.
3.4.2 Procedure finanziarie trasparenti. Rendicontazione e
affidamenti ad organi di controllo amministrativo.
3.4.3 Analisi del rischio finanziario. Pianificazione e analisi degli
investimenti
Sezione 3 – Infrastruttura organizzativa
3.5 Contratti, licenze, disponibilità
3.5.1 Contratti e accordi con terzi. Modalità di gestione dei
contratti verso terzi.
3.5.2 Proprietà intellettuale degli oggetti conservati. Gestione
delle responsabilità anche legate alla privacy.
Sezione 4 – Gestione degli oggetti digitali
4.1 Ingest: acquisizione di contenuti
4.1.1 Identificazione del contenuto informativo. Documenti relativi agli accordi di versamento.
4.1.2 Informazioni associate ai documenti. Seti di metadati utilizzativi.
4.1.3 Riconoscimento e gestione del SIP. Descrizione delle modalità di gestione del SIP
4.1.4 Verifica del submitter. Documentare meccanismi di verifica del submitter
4.1.5 Modalità di verifica della completezza di un SIP. Finalità di evitare errori nell’acquisizione di un SIP.
4.1.6 Verifica dell’oggetto digitale. Livelli di controllo fisico del documento (sequenza di bit).
4.1.7 Capacità di aggiornamento del soggetto produttore. Informazioni di monitoraggio (es. notifiche)
4.1.8 Attività rilevanti per la conservazione. Presenza di documentazione a supporto dei processi di conservazione.
Sezione 4 – Gestione degli oggetti digitali
4.2 Ingest: creazione degli AIP
4.2.1 Descrizione del AIP
4.2.2 Costruzione di un AIP a partire da un SIP
4.2.3 Gestione complessiva del SIP
4.2.4 Gestione dell’identificativo persistente
4.2.5 Informazioni di rappresentazione dell’oggetto
4.2.6 Processo per l’acquisizione di metadati di descrizione4.2.7 Comprensione del AIP da parte della comunità di riferimento
4.2.8 Verifica di completezza di un AIP
4.2.9 Verifica dell’integrità di un AIP
4.2.10 Processi di validazione di un AIP
Sezione 4 – Gestione degli oggetti digitali
4.3 Pianificazione della conservazione
4.3.1 Strategia di conservazione sul lungo periodo
4.3.2 Meccanismi di monitoraggio dell’ambienti di
conservazione
4.3.3 Pianificazione e revisione delle attività di conservazione
4.3.4 Efficienza delle attività di conservazione nel tempo
Sezione 4 – Gestione degli oggetti digitali
4.4 Conservazione degli AIP
4.4.1 Specifiche sulle modalità di conservazione di un AIP
4.4.2 Documentazione relativa ai processi di conservazione
Sezione 4 – Gestione degli oggetti digitali
4.5 Gestione delle informazioni
4.5.1 Requisiti per ricercare gli AIP da parte della comunità di
riferimento
4.5.2 Predisposizione di informazioni di gestione dell’AIP
4.5.3 Collegamento biunivoco tra AIP e informazioni descrittive
Sezione 4 – Gestione degli oggetti digitali
4.6 Gestione degli accessi
4.6.1 Conformità con le politiche di accesso. Profilazione degli
utenti
4.6.2 Policy e procedure per la distribuzione di PdA e
generazione di PdD. Modalità di creazione di PdD.
Sezione 5 – Gestione dei rischi e
infrastruttura
5.1 Gestione del rischio per l’infrastruttura
5.1.1 Monitoraggio delle tecnologie. Monitoraggio e sistemi di
notifica
5.1.2 Gestione delle copie di sicurezza. Gestione delle copie
autentiche prodotte dal sistema di conservazione.
Sezione 5 – Gestione dei rischi e
infrastruttura5.2 Gestione del rischio per la sicurezza
5.2.1 Analisi sistemica dei fattori di rischio. Analisi in relazione ai sistemi, ai dati, al personale, alle localizzazioni.
5.2.2 Analisi dei controlli di sicurezza. Implementazione di un sistema ISO 27001.
5.2.3 Definizione dei ruoli e responsabilità. Comprovare la corretta gestione in ordine all’aggiornamento dei sistemi.
5.2.4 Disaster recovery e business continuity. Strumenti adeguati per backup e restore e continuità in caso di disastro.
LA NORMATIVA
D.Lgs. 82/2005 Codice dell’Amministrazione Digitale (CAD)
Art.29 Qualificazione ed accreditamento
c.1. I soggetti che intendono svolgere l’attività di conservatore di
documenti informatici presentano all’AgID domanda di accreditamento,
secondo le modalita’ fissate dalle Linee guida.
c.2. l richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del
Regolamento eIDAS, deve avere natura giuridica di società di capitali e
deve disporre dei requisiti di onorabilita’, tecnologici e organizzativi,
nonche’ delle garanzie assicurative e di eventuali certificazioni, adeguate
rispetto al volume dell’attivita’ svolta e alla responsabilita’ assunta nei
confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati,
nel rispetto della disciplina europea, con decreto del Presidente del
Consiglio dei ministri, sentita l’AgID
LA NORMATIVA
D.P.C.M. 03/12/2013 Regole tecniche in materia di sistema di
conservazione.
Art. 13 Accreditamento
c.1. L’Agenzia per l’Italia digitale definisce, con propri provvedimenti, le
modalità per l’accreditamento e la vigilanza sui soggetti di cui all’art. 44-bis
(abrogato) del Codice i quali adottano le presenti regole tecniche di cui al
presente decreto per la gestione e la documentazione del sistema di
conservazione, nonché per l’espletamento del processo di conservazione.
LA NORMATIVA AgID – Circolare 65 del 10/04/2014 (G.U. 16/04/2014) - Modalità per
l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
1. Affidabilità organizzativa
2. Utilizzo di personale dotato di conoscenze specifiche
3. Applicazione di procedure e metodi adeguati
4. Utilizzare sistemi affidabili
5. Adottare idonee misure di protezione
6. Forma giuridica di capitali (cap. soc € 200.000)
7. Requisiti di onorabilità
8. Polizza assicurativa
9. Manuale della conservazione – Piano della sicurezza informatica
10. Certificazione ISO 27001
Lista di Requisiti di qualità e sicurezza
LA NORMATIVA Regolamento UE eIDAS 910/2014 del 23 luglio 2014 in materia di
identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE
Art. 21. Avviamento di un servizio fiduciario qualificato
Qualora i prestatori di servizi fiduciari, privi di qualifica, intendano avviare la prestazione di servizi fiduciari qualificati, trasmettono all’organismo di vigilanza una notifica della loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità.
Art. 24. Requisiti per i prestatori di servizi fiduciari qualificati
1. Informa l’organismo di vigilanza
2. Impiega personale dotato di competenze che vengono mantenute
3. Risorse finanziarie adeguate
4. Utilizza sistemi affidabili
5. Adotta misure adeguate contro i furti di dati
6. …
IL PROCESSO DI ACCREDITAMENTO
AgID ACCREDIA
Circolare 36/2016 e Circolare 5/2017 - Schema di accreditamento degli
Organismi di Certificazione, per il processo di certificazione dei Conservatori
a Norma, secondo le disposizioni dell'Agenzia per l'Italia
AgID
Modalità di esecuzione delle verifiche sui soggetti qualificati o accreditati
(Maggio 2017)
Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità
dei conservatori accreditati (14 aprile 2017)
Lista di 73 requisiti per un totale di 197 punti relativi a organizzazione,
processi e infrastruttura
IL PROCESSO DI ACCREDITAMENTO
Prestatore di servizi
AgID
Ente Certificatore
ACCREDIA
4) Certificazione
di conformità
2) Accredia (Ente nazionale
di accreditamento)
ha accreditato
gli enti certificatori
1) Lista
di riscontro
5) Domanda +
Certificazione di
conformità
ACCREDITATO
3) Richiesta
di certificazione
IL PROCESSO DI ACCREDITAMENTO
AgID
FASE iniziale domanda di accreditamento
Successivamente Mantenimento dell’accreditamento
Certificazione (biennale)
Sorveglianza AgID
IL RUOLO DEL CONSERVATORE
D.P.C.M. 03/12/2013 Regole tecniche in materia di sistema di
conservazione.
Art. 5 Sistema di conservazione
1. In attuazione di quanto previsto dall’art. 44, comma 1, del Codice, il sistema
di conservazione assicura, dalla presa in carico dal produttore di cui all’art. 6
fino all’eventuale scarto, la conservazione, tramite l’adozione di regole,
procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone
le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità.
a) documenti informatici….
b) fascicoli informatici….
CUSTODE FIDATO
IL RUOLO DEL CONSERVATORE
Sistemi di
produzione e
gestione
Sistemi di
conservazione
• Alte prestazioni in tema di
performance
• Forte prevalenza di
gestione di dati
• Forte dipendenza
dall’applicativo in uso
• Portare nel tempo il
documento
• Garantire le caratteristiche
di autenticità del
documento
• Indipendenza dai sistemi di
produzione e gestione
IL RUOLO DEL CONSERVATORE
QUINDI I CONSERVATORI SONO TUTTI UGUALI?
Elementi discrezionali/distintivi
SET DI METADATI UTILIZZATO – Può variare da conservatore a
conservatore e spesso è peculiare del contesto nel quale viene applicato Studio di set di metadati il più possibile estensivo su tutti i contesti nel quale viene utilizzato
MODALITA’ DI COMPOSIZIONE DEL PDA – Autoconsistenza del PdA in
relazione alla tecnologia stessa (anche del sistema di conservazione)
FORMATI GESTITI E TIPI DI DOCUMENTI GESTITI – Quali formati e
quali documenti l’ente ha necessità di conservare
EXIT STRATEGY – Qual è la strategia di uscita dal servizio di
conservazione
RICOMINCIAMO DA CAPO
D.P.C.M. 3/12/2013
Art. 5 …… dalla presa in carico dal
produttore ….garantendone le
caratteristiche di autenticità, integrità,
affidabilità, leggibilità, reperibilità.
PRODUTTORE/CONSERVATORE
PAIMAS (Producer-Archive Interface Methodology Abstract Standard)
Elaborato dal CCSDS (Consultative Committee for Space Data System)
CCSDS 651.0-M-1 MAGENTA BOOK
LO SCOPO
definire e dare una struttura alle relazioni tra il Produttore e il Conservatore.
definire una metodologia, dall’istante del primo contatto tra Produttore e
Archivio fino alla sottomissione delle risorse digitali che saranno ricevute e
validate dall’Archivio.
LE RACCOMANDAZIONI PAIMAS
LA STRUTTURA
Fase preliminare
Fase di definizione formale
Fase di trasferimento
Fase di validazione
LA FASE PRELIMINARE
Fase preliminare definizione dei Submission Agreement – Accordi
di versamento
identificare l’informazione primaria che l’archivio deve conservare
stabilire una definizione preliminare dei differenti Data Objects che
saranno trasmessi dal Produttore al Conservatore
analizzare gli aspetti di fattibilità, sia dal punto di vista del Produttore
che del Conservatore.
LA FASE PRELIMINARE
IDENTIFICAZIONE DEGLI OGGETTI DA CONSERVARE
Valutazione delle tipologie di documenti
Valutazione di norme o standard associate alle tipologie (es. Registro giornaliero di protocollo o fatturaPA)
Valutazione dei formati (pdf, txt, DICOM)
Numerosità degli oggetti nel tempo (necessario per organizzare in senso capacitivo il sistema)
Modalità di identificazione e versionamento dei documenti
Modalità di validazione dei documenti (uso di firme e tracciamento di tali firme in conservazione)
Regole di presa in carico dei documenti
Exit Strategy
LA FASE PRELIMINARE
IDENTIFICAZIONE DEGLI APPLICATIVI SUBMITTER
Definizione degli applicativi submitter
Studio delle necessarie integrazioni (metadati, metodi di submission,
notifiche di avvenuta submission)
Mapping dei metadati disponibili da inviare in conservazione
(valutazione della ricchezza, ampiezza e flessibilità del set di metadati
disponibili)
PROTOCOLLO INFORMATICO
Sistemi documentali
• Protocollo
• Delibere
• Determine
• Registro giornaliero
Gestore
Documentale
Canale DAE
(Doc. Amministrativi Elettronici)
CONSERVATORE
ENTE COMPLESSO
Sistemi documentali
• Protocollo
• Delibere
• Determine
• Registro giornaliero
Gestore
Documentale
CONSERVATORE
B
Sistema amministrativo
• FatturaPA
CONSERVATORE
A
Sistema Didattico
• Verbali d’esame
• Appelli
• …..
CONSERVATORE
C
AMBITO UNIVERSITARIO
Producers
Amministrativi
• Sistema Amministrativo
• Protocollo
• Delibere
• Determine
• …
Gestore
Documentale
Clienti Fornitori
Sistema di Intermediazione
CONSERVATORE
Sistema amministrativo
• FatturaPA
Sistema Didattico
• Verbali d’esame
• Appelli
• …..
IL RUOLO DEL PRODUTTORE
D.P.C.M. 3/12/2013
Art. 5 …… dalla presa in carico dal
produttore ….garantendone le
caratteristiche di autenticità, integrità,
affidabilità, leggibilità, reperibilità.
PRODURRE DOCUMENTI autentici,
integri, affidabili, leggibili, reperibili.
COS’ALTRO SUL TAVOLO
DATI/DOCUMENTI applicativi che parlano e scambiano sempre più dati vs esigenze pratiche e normative che sottolineano ancora la centralità del documento (visione archivistica/visione informatica)
DOCUMENTO AUTENTICO originale; copia informatica di documento originale cartaceo; copia cartacea di documento originale informatico; copia conforme; firma elettronica; firma elettronica avanzata; firma elettronica qualificata; firma digitale; marca temporale; sigillo elettronico; mail; PEC…
RIFLESSIONE SERIA SU COSA CONSERVARE Breve, lunga, temporanea definitiva, tombale
SCARTO DIGITALE possibile/impossibile; riproposizione digitalizzata di un processo tutto analogico; ripensamento ai tempi di conservazione come a sovrastrutture variabili nel tempo
IL VINCOLO ARCHIVISTICO enorme attualità di un concetto prettamente archivistico (quali relazioni tra documenti)
IL RUOLO DEL PRODUTTORE
QUALI REQUISITI
PERSONALE FORMATO sviluppo di competenze adeguate ad una
gestione documentale integrata (quanto tempo
ancora ibridi?)
CABINA DI REGIA MULTIDISCIPLINARE Diverse professionalità che
abbiano un medesimo punto di riferimento
PROGETTO ARCHIVIO DIGITALE Percorso complesso che ha bisogno di
una visione di lungo periodo ed un progetto
organico anche se realizzato a piccoli passi
VISIONE INFORMATICA INTEGRATA integrazione tra sistemi